Защита сайта

[Gariks]

Тема интересная. И вот, кто скажет, как защитить сайт? Например, нужно к кому то обратиться (дело обычное) и как обезопасить перед тем, как к кому то обращаться? 

[Shureg]

29 минут назад, Gariks сказал:

Тема интересная. И вот, кто скажет, как защитить сайт? Например, нужно к кому то обратиться (дело обычное) и как обезопасить перед тем, как к кому то обращаться? 

Обезопасить - никак. Попытаться орбащаться к тем, кому доверяете.
Можно сделать бэкап сайта до работы и после, и сравнить, что изменено.

[Gariks]

7 минут назад, Shureg сказал:

Обезопасить - никак. Попытаться орбащаться к тем, кому доверяете.

 

Что бы кому то доверять, сначала, нужно проверить человека. А что бы проверить, сначала, нужно обратиться к нему 

 

10 минут назад, Shureg сказал:

Можно сделать бэкап сайта до работы и после, и сравнить, что изменено

 

Это да. Только, затем весь код сравнивать?)

[Shureg]

1 минуту назад, Gariks сказал:

Это да. Только, затем весь код сравнивать?)

Ну, а что делать, кому сейчас легко. 
Нет, есть культурные, прогрессивные способы, например, работать через github. Но это само по себе требует квалификации и определенных затрат времени.
Да и ценник за услуги помогающего может резко вырасти.

[TALINOR]

Закину свои 5 копеек.

Тема думаю очень актуальная и т.к. не нашёл вообще ничего похоже на форуме, поэтому только когда припекло, предметно написал свой пост.

Как защититить например сайт от программ плана WGET. Которая качает весь фронтенд.

Как защитить сайт, если даёшь доступ по фтп для работы верстальщику. ?

На самом деле примерно так и делал до этого.

Дал ТЗ, человек выполнил работу. Изначально давал полностью доступ на ФТП. Потом выгружал сайт и спрашивал - что, где менялось. После этого смотрел эти файлы и методом поиска через Тотал искал изменнёный текст. Находил почту, ник, ссылки на свои сайты, и т.п. Вообщем путём логики находил следы.

Понять не могу зачем верстальщики осталвяют свои контактные данные в коде. Что бы к ним обратились или показать свою работу ?

Люди которые обращаются вообще не понимают ничего и смысл таких следов?

 

На данный момент стараюсь работать то принципу. Есть тестовая версия сайта, к которой полный доступ. Есть рабочая версия сайта. На него переношу только те файлы, что правят и не даю вообще доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

Змінено 25 грудня 2020 користувачем TALINOR

[Venter]

20 минут назад, TALINOR сказал:

Закину свои 5 копеек.

Тема думаю очень актуальная и т.к. не нашёл вообще ничего похоже на форуме, поэтому только когда припекло, предметно написал свой пост.

Как защититить например сайт от программ плана WGET. Которая качает весь фронтенд.

Как защитить сайт, если даёшь доступ по фтп для работы верстальщику. ?

На самом деле примерно так и делал до этого.

Дал ТЗ, человек выполнил работу. Изначально давал полностью доступ на ФТП. Потом выгружал сайт и спрашивал - что, где менялось. После этого смотрел эти файлы и методом поиска через Тотал искал изменнёный текст. Находил почту, ник, ссылки на свои сайты, и т.п. Вообщем путём логики находил следы.

Понять не могу зачем верстальщики осталвяют свои контактные данные в коде. Что бы к ним обратились или показать свою работу ?

Люди которые обращаются вообще не понимают ничего и смысл таких следов?

 

На данный момент стараюсь работать то принципу. Есть тестовая версия сайта, к которой полный доступ. Есть рабочая версия сайта. На него переношу только те файлы, что правят и не даю вообще доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

это просто некомпетентные специалисты, с которыми вообще потом не стоит работать, они не умеют делать нормально и тем более общаться с клиентом и обращаться с чужим.

случай был недавно с клиентом. в общем он сначала просил одного человека что то сделать, тот сделал, потом еще кое что попросил сделать, тот не смог это сделать, клиент находит меня, обращается, я делаю, получаю оплату - все довольны. на след день клиент мне пишет мол можешь еще раз это проделать? я - а в чем дело то, вчера же только поставил? а я говорит отказался тому платить потому что он не выполнил свою работу, которую ты выполнил, за первую говорит работу оплатил а вот вторую выполнил ты а не он, а он взял и удалил и бд и часть файлов с хоста. хорошо бекап бд был. вот такие черти попадаются

[Shureg]

6 часов назад, TALINOR сказал:

На данный момент стараюсь работать то принципу. Есть тестовая версия сайта, к которой полный доступ. Есть рабочая версия сайта. На него переношу только те файлы, что правят и не даю вообще доступ не к бд, не к админке и т.п. Файлы перед переносом просматриваю. 

Я бы с вами работать не стал, это невыносимо. Вообще, все свои доработки и пр. стараюсь оформлять в виде окмодов. То есть, оригинальные файлы я вообще не трогаю, а то, что меняется, вы имеете возможность и посмотреть, и отменить. Плюс - это удобно тем, кто придет после меня. К сожалению, это не всегда возможно. Но я стараюсь 

Змінено 25 грудня 2020 користувачем Shureg

[buslikdrev]

21 час назад, TALINOR сказал:

что правят и не даю вообще доступ не к бд, не к админке

Можно получить доступ имея только фтп. Также можно получить доступ к файлам и бд имея только админку.

[Yoda]

В 25.12.2020 в 09:11, Shureg сказал:

Правда?  А вот я, скажем, оставлю закладку, которая по запросу с фронта к конкретному товару (отключенному, чтобы кто другой нечаянно не зашел)  зачищает в БД таблицу заказов. Это грубо, конечно, можно и интересней вещи сделать. Расскажите, как вы меня будет фильтровать и мониторить. 

Повторюсь за @spectre это даже не поднасрать - это жиденько пункуть.
У меня все вопросы начинаются с одного главного - бекапы, и с наставления "рут никому не давать".
А по логам найти казуз, в следствии которого магазин лег - не составит труда.

 

Вон тут один известный паренек, думал самый умный, и оставлял в админке у всех своих покупателей дыромаху, и того спалили.

Мало того, после такой закладки и публичной порки с паролями явками и исполнителями - придется с нуля качать репу и долго есть дошик, пока снова нормально заплатят.

[Shureg]

5 часов назад, Yoda сказал:

Повторюсь за @spectre это даже не поднасрать - это жиденько пункуть.

И к чему вы это?
А если бы в моем примере был вывод  echo 'hello world'  ,  вы написали бы, что это и вовсе ерунда?
Я ведь не варианты подгадить предлагал, а показал, что против уже созданных закладок менять пароли и пр.  недостаточно. И ваши предложения фильтровать и логировать тоже не спасут. 
"Закладчик" может оставить скрипт с какой угодно задачей, и вы ничем не помешаете ему его исполнить, когда он сочтет это нужным.  Либо бэкапы, либо тотальный пересмотр сайта

Змінено 27 грудня 2020 користувачем Shureg

[Yoda]

12 часов назад, Shureg сказал:

И к чему вы это?
А если бы в моем примере был вывод  echo 'hello world'  ,  вы написали бы, что это и вовсе ерунда?
Я ведь не варианты подгадить предлагал, а показал, что против уже созданных закладок менять пароли и пр.  недостаточно. И ваши предложения фильтровать и логировать тоже не спасут. 
"Закладчик" может оставить скрипт с какой угодно задачей, и вы ничем не помешаете ему его исполнить, когда он сочтет это нужным.  Либо бэкапы, либо тотальный пересмотр сайта

Дружище, ну все это я видел.
На паре десятков больших проектов я как домовой - только сайтовой. Без моей визы за шлгабаум никого не пустят. Даже @dinox не авторитет будет.
Ну а герои сказок, могут работать с шурегом. Всем тезисы безопасности не донесешь! (тока вот никто из моих друзей  с шуригами не работает, а работает с проверенными временем сециалистами, за сотрудничество с каждым я отвечаю своей репутацией!

Еще раз повторю - обычно по магазинам работает известный пул реализаторов. И если абстрактный шурег устроит rm rf - то найти концы - не проблема!

[Shureg]

2 часа назад, Yoda сказал:

...
Ну а герои сказок, могут работать с шурегом. Всем тезисы безопасности не донесешь! (тока вот никто из моих друзей  с шуригами не работает, а работает с проверенными временем сециалистами, за сотрудничество с каждым я отвечаю своей репутацией!

Еще раз повторю - обычно по магазинам работает известный пул реализаторов. И если абстрактный шурег устроит rm rf - то найти концы - не проблема!

Если абстрактный йода хочет обсудить абстрактного шурига, путь пишет ему в личку, и не засоряет тему.
ТС не спрашивал, как йода работает. ТС спрашивал, что делать, если есть подозрение на закладки. 

Змінено 28 грудня 2020 користувачем Shureg

[ocdev_pro]

Что бы не возникало глупых вопросов @Yoda верно уже написал несколько тезисов выше.

А кроме прочего научитесь уже использовать git на своих проектах.

 

С какими разработчиками работать, если проверенных нет и не хочеться попасть на кидалу?

Скажем так на форуме создайте ветку, Вам насоветуют такие парни как Yoda, Spectr, Stickpro нормальных проверенных взрослых специалистов. Да будет не дёшево, но за гарантии и качество есть своя цена.

 

Я себя отношу к адекватным разработчикам и беру от 20$/час.

Могу гарантировать безопасность работы, при выполнении Вами определенных правил.

[Yoda]

2 часа назад, ocdev_pro сказал:

Что бы не возникало глупых вопросов @Yoda верно уже написал несколько тезисов выше.

А кроме прочего научитесь уже использовать git на своих проектах.

 

С какими разработчиками работать, если проверенных нет и не хочеться попасть на кидалу?

Скажем так на форуме создайте ветку, Вам насоветуют такие парни как Yoda, Spectr, Stickpro нормальных проверенных взрослых специалистов. Да будет не дёшево, но за гарантии и качество есть своя цена.

 

Я себя отношу к адекватным разработчикам и беру от 20$/час.

Могу гарантировать безопасность работы, при выполнении Вами определенных правил.

А я не разработчик.

Видел тексты недоджуниор не знаю пхп.

Так вот все правда. Пока ядро линукса пулл-реквестов не наделаю. Ну какой с меня разработчик.

А если по факту - то php +  mysql + nginx  - это такой примитивный стек, в котором все, что может вызвать вопросы, по стопицот раз разжевано, что надо быть реально дебилом, чтобы не стать грамотным специалистом, за какое то вменяемое время, обладая базовым пониманием.... Подчеркиваю - не с бочки с селедкой перейти в программисты.